Una vez más los atacantes están explotando la tendencia pública de no mantener actualizado el software, y el interés creciente acerca de Irán y su programa nuclear para infectar a los usuarios con un troyano de puerta trasera.
La amenaza, primero identificada y descrita por la investigadora de seguridad Mila Parkour, está contenida en un correo electrónico cuyo asunto dice "Situación petrolera y nuclear en Irán", y el remitente es "William Abnett".
Créditos: ContagioDump
El documento adjunto "Situación petrolera y nuclear de Irán.doc" contiene elementos Flash, que descargan un archivo mp4 corrupto, que a su vez causa corrupción de memoria y ejecución de código. El archivo adjunto saca ventaja de una falla de Flash recientemente solucionada (CVE-2012-0754).
El archivo genera y ejecuta el binario embebido (us.exe) en la carpeta %Temp%. El ejecutable es un troyano que abre una puerta trasera en la computadora vulnerable y trata de bloquear las advertencias lanzadas por soluciones antivirus sobre su naturaleza maliciosa.
Mientras ambos archivos DOC y EXE sean detectados por unas cuantas soluciones antivirus enlistadas en VirusTotal, no habrá advertencias ni forma de bloquearlo efectivamente.
Parkour advierte a los usuarios que sean cuidadosos y lo piensen dos veces antes de abrir correos electrónicos y archivos enviados por personas que no conocen, u organizaciones con las que no hayan tenido contacto previamente – los asuntos de los correos electrónicos y los nombres de los archivos adjuntos son cambiados con facilidad y frecuencia.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT